Libro "Ciberseguridad en 9 pasos" gratuito

abril 30, 2013 § Deja un comentario

Este un libro electrónico gratuito escrito por el especialista Dejan Kosutic. Fue específicamente diseñado para guiarlo a través de todos los aspectos básicos de la ciberseguridad en un formato fácil de comprender y de interpretar. Usted conocerá cómo planificar la implementación de la ciberseguridad desde una perspectiva gerencial de alto nivel. Además, Kosutic contempla todas las opciones posibles y las formas de escoger las que, en definitiva, funcionarán mejor.

El objetivo de este libro es brindarle la información indispensable que usted necesita para tomar decisiones que son cruciales para el futuro de su organización.

¿Por qué este libro es esencial para usted?

  • Conozca cómo utilizar la gestión de riesgos para convertir su plan de ciberseguridad en una inversión rentable.
  • Descubra cómo la ciberseguridad puede convertirse en una ventaja de comercialización para su empresa.
  • Sepa cómo cumplir con diversas leyes y normas sobre seguridad de la información.
  • Reciba algunos consejos útiles para persuadir a la alta gerencia para que actúe inmediatamente.
  • Descubra los elementos clave de la tríada CID (Confidencialidad, Integridad y Disponibilidad) y por qué es vital para su empresa.
  • Conozca todo lo que necesita saber para desarrollar un plan de ciberseguridad y para monitorear la implementación estableciendo objetivos cuantificables.

Para descargarlo simplemente complete este formulario.

Fuente: ISO27001 Standard

Anuncios

Servicios VPN anónimos y gratuitos

abril 30, 2013 § Deja un comentario

A estas alturas todos sabemos que una red privada virtual (VPN) permite cifrar los datos de las conexiones entre dos nodos, permitiendo no sólo la navegación web (como es el caso de los llamados proxies anónimos) si no también el uso de otros protocolos para correo electrónico, mensajería instantánea, voz sobre IP (VoIP) y cualquier otro servicio de Internet.

Existen muchos servicios VPN disponibles y la mayoría se utilizan para mantener el anonimato, si bien es importante decir que esto dependerá en gran medida de la confianza que deposites en el proveedor del servicio, ya que muchos registran tus pasos y podrían facilitar los logs si las autoridades así lo requiriesen, e incluso los más legales lo advierten en la aceptación de sus políticas de uso si existe abuso. No obstante, existen algunos proveedores que sitúan sus servidores en países en los que todavía no está definida claramente una legalidad y se comprometen a no almacenar ningún registro de conexión, pero eso ya es cuestión de confianza. Aquí hay una lista de otras VPN que se toman la privacidad en serio.

Otro de los típicos usos que se les da a estas VPNs es la de mantener la privacidad de las comunicaciones, dado que los datos irán cifrados desde el cliente hasta el terminador de túneles, invalidando así toda probabilidad de éxito para un ataque MiTM en ese tramo… y digo en ese tramo porque evidentemente el tráfico desde el servidor del proveedor al sitio a visitar viajará sin cifrar, por lo que la seguridad en este caso no sería completa.

Sin embargo, si podríamos hablar de mayor privacidad a la hora de esconder un poco nuestra huella digital, donde cookies y otros registros se verán afectados y pondrán un poco más difícil la tarea a las plataformas de ads.

Por último y quizás la principal ventaja de las VPNs es la evasión. Primero para evitar la censura mediante geo-controles al presentarnos con la IP pública de otro país, tan útil para ver servicios web xenófobos restrictivos como Hulu o Netflix, algo que no siempre es muy efectivo porque sobretodo las IPs de los servidores VPN más famosos son añadidos en blacklists y por tanto bloqueados. Otro uso de evasión es para los firewalls que no podrán determinar el protocolo del tráfico cifrado que atraviesa el túnel. Es decir, si un firewall permite el estableciemiento de un túnel o simplemente no puede evitarlo porque se enmascara mediante otro protocolo, es decir no tiene deep inspection, pues entonces la seguridad del perímetro queda comprometida.

Actualmente existen numerosos proveedores que ofrecen distintos servicios VPN con distintas implementaciones como IPSec, SSL/TLS, L2TP o PPTP. Algunos facilitan su propio cliente y otros permiten utilizar algún otro existente como OpenVPN. La mayoría son fáciles y transparentes de usar y poseen servicios premium de pago que aumentan sus capacidades como más velocidad y ancho de banda o mayor volumen de datos transferidos al mes. A continuación echaremos un vistazo a 25 servicios VPN que al menos ofrecen servicios gratuitos en distinta medida:

Fuentes:

Fuente: HackPlayer

Millones de equipos vulnerables, según análisis de Internet de Rapid7

abril 30, 2013 § 1 comentario

MIT Technology Review contó cómo HD Moore, jefe de investigación de Rapid7, creo un ambicioso proyecto: “enviar a un ping” a todos los computadoras conectados a internet.

Un ping normalmente es utilizado para diagnosticar la conexión a internet de otros computadores. En términos simples, este procedimiento se parece a lo que los submarinos hacen para detectar los objetos cercanos con un sonar: envían una señal que regresa, con la que se puede conseguir cierta información. Así, al enviar a un ping a otro computador, este retorna a su sitio de origen con ciertos datos. Los hallazgos de Moore fueron apoyados por un conjunto de datos similares publicados por un hacker anónimo el mes pasado.

Moore invirtió mucho dinero para lograr enviar pings a todo el mundo. Tuvo que comprar buenos computadores, los recibos del servicio de electricidad llegaron por las nubes y se necesitó equipo de enfriamiento especial para que los computadores no pusieran en llamas su apartamento. Eso sin mencionar las miles de amenazas y correos hirientes que recibió por parte de miles de personas que recibieron su señal. Sin embargo, los resultados del ‘atentado’ de Moore mostraron importantes resultados.

El investigador de Rapid7 señaló [PDF] que su acto de locura reveló información importante: envió la señal a 3.700 millones de computadores conectados a internet, de los cuales 310 millones mostraron ser muy vulnerables a ataques muy comunes hoy en día. De esos, hay un segmento específico que alertó a Moore: los 114.000 que pertenecen a negocios o industrias. Estos pueden ser accedidos a través de métodos comunes; y 13.000 de ellos directamente, sin mayor esfuerzo.

La investigación [PDF] revela que alrededor de 40-50 millones de dispositivos conectados a la red están en riesgo debido a vulnerabilidades encontradas en el protocolo Plug and Play (UPnP). El artículo investiga tres grupos de fallas de seguridad en relacionadas con el protocolo UPnP.

Según el MIT, “estas cuentas vulnerables les dan grandes oportunidades a atacantes, como reiniciar los servidores de una compañía, acceder a información de sistemas médicos y datos de clientes. Incluso pueden conseguir acceso a sistemas de control de equipo industrial”.

Más allá de los resultados, el investigador no quedó con muchas ganas de volver a hacerlo. Los gastos fueron demasiados y los riesgos muy altos como para correr con ellos de nuevo. Esto, sin embargo, quedará a la historia del mundo de la computación como un gran acto de locura.

Fuente: Enter

Cifrado de discos: proteger tu privacidad de forma sencilla y efectiva

abril 30, 2013 § Deja un comentario

Dentro del curso gratuito de Privacidad y Protección de Comunicaciones Digitales que se encuentra en el MOOC Crypt4you la Lección 2 “Cifrado de discos: proteger tu privacidad de forma sencilla y efectiva” del experto invitado Román Ramírez, Responsable de Seguridad en Arquitecturas, Sistemas y Servicios en la empresa Ferrovial y fundador del congreso de seguridad Rooted CON.

Más de alguna vez te habrás preguntado: ¿qué sucedería si se me pierde el ordenador portátil en un taxi, en el aeropuerto, etc.? Son lugares bastante más comunes de lo que imaginas para olvidarse éstos y otros dispositivos electrónicos. ¿Y si ese ordenador es el de mi trabajo donde hay datos de clientes e incluso algún informe confidencial que debía custodiar? Pues entonces ya sabes que tienes un grave problema. En esta lección, Román Ramírez nos enseña cómo proteger la información que te interesa se mantenga confidencial y ocultarla de ojos y oídos no autorizados, analizará y comparará diversos programas y opciones de cifrado.

  • Apartado 1. Introducción al cifrado: ¿por qué quiero cifrar?
  • Apartado 2. ¿Qué es el cifrado de disco? Ventajas y desventajas
  • Apartado 3. Funcionamiento del cifrado de disco
  • Apartado 4. ¿Puedo usar el cifrado legalmente?
  • Apartado 5. Herramientas de cifrado de disco
  • Apartado 6. Un breve paseo por herramientas comerciales de cifrado
  • Apartado 7. TrueCrypt: una herramienta gratuita
  • Apartado 8. Conclusiones y resumen de puntos clave
  • Apartado 9. Anexo: Ejemplo de uso de TrueCrypt con volúmenes ocultos

Se recuerda que el formato del MOOC Crypt4you es dinámico y, por tanto, el contenido de las lecciones puede experimentar cambios, siendo posible la inclusión de nuevas lecciones o bien la reordenación de las mismas dentro del índice publicado.

Fuente: Crypt4you

¿Es seguro utilizar Gmail en nuestro trabajo?

abril 30, 2013 § Deja un comentario

La respuesta rápida es sí. Al menos para la mayoría de los usuarios; no obstante, también hay ciertas circunstancias en las cuales Gmail no es una opción apropiada.

Los ajustes por defecto de Gmail proporcionan una seguridad robusta. Los datos que ven los usuarios están protegidos con el estándar de cifrado 128 bits. Google transmite los datos a los usuarios a través de una capa de seguridad 1.1. Además, los datos cifrados se verifican a través del sistema de funciones SHA1 y se descodifican mediante el mecanismo ECDHE_RSA (SSL/TLS).

Sabemos que todo esto puede ser complicado de comprender, la criptografía es realmente confusa si las matemáticas no es tu forma de vida. De un modo más sencillo, Google nos envía la información de Gmail en formato codificado y solo nosotros tenemos la llave para descodificarla.

Gmail es totalmente seguro si utilizamos una contraseña segura en un equipo protegido con una solución de seguridad y, además, usamos el sistema de verificación de dos pasos.

No obstante, es cierto que Google escanea, automáticamente, el contenido de las cuentas y mensajes de Gmail para mostrar anuncios más ajustados a las preferencias de los usuarios. Teóricamente, es posible que un cibercriminal aprenda mucho sobre su futura víctima (si esa persona utiliza el servicio Gmail para su trabajo) observando, simplemente, los anuncios web o los resultados de búsqueda del usuario. Aunque no se sabe si han tenido lugar ese tipo de ataques, son realmente posibles. Así que si tu trabajo requiere manejar información confidencial, te aconsejamos que no uses Gmail.

Asimismo, es técnicamente posible interceptar los datos en tránsito de Gmail mediante un equipo infectado y certificados digitales falsos. Además, según el informe anual de transparencia de la compañía, no existe duda alguna que Google cumple y obedece con las peticiones procedentes de los fiscales o los gobiernos.

Los usuarios deben evaluar el tipo de comunicación que realizan a través de Gmail y decidir, por sí mismos, si trabajar con esta plataforma es beneficioso o no. Si, por ejemplo, trabajan como activistas políticos u otro tipo de actividad en contra de un régimen o los intereses de un país, lo mejor es evitar este servicio de Google. Los gobiernos pueden pedir información a la compañía y en, algunos casos, ésta no puede negarse a hacerlo. Además, las autoridades tienen el dinero y los recursos para crackear el sistema de cifrado de Google e, incluso, realizar ataques man-in-the-middle.

Algunos expertos creen que hackers, respaldados por el gobierno iraní, atacaron el proveedor de certificados digitales holandés, Diginotar, el año pasado para espiar a algunos de sus ciudadanos. Nadie sabe con certeza si sucedió, pero este ataque contra Diginotar y Comodo demuestra que existe esta amenaza. Incluso si los gobiernos no fueran responsables de estos ataques, el ataque contra proveedores de certificados digitales implica que alguien se está haciendo pasar por otra persona y está transmitiendo información a otra fuente que no es quien dice ser.

Teniendo en cuenta todos estos datos, los usuarios cuyo trabajo no debe conocer las autoridades de un país, no deben utilizar Gmail en su vida profesional. En líneas más generales, si tu trabajo supone tratar con datos confidenciales, la mejor opción es no utilizar Gmail y usar otros sistemas de almacenamiento en la nube, porque los cibercriminales siempre están acecho de dicha información.

Por supuesto, nadie quiere que pongan en peligro su cuenta de Gmail o que monitoricen sus comunicaciones- sin importar el trabajo que se desempeñe. De todos modos, para aquellos que insisten en utilizar esta plataforma, os proporcionamos los siguientes consejos:

Accede a tu cuenta de Gmail a través de un equipo que esté bien protegido y que tenga instalado una solución de seguridad. De nuevo, es realmente importante que los usuarios utilicen el sistema de doble verificación porque les ayudará a protegerse frente a posibles ataques. Siempre se debe cerrar la sesión cuando dejemos de trabajar con Gmail porque ni la mejor solución de seguridad puede protegerte de las miradas indiscretas. Y por último, actualiza regularmente la versión de tu navegador y el sistema operativo y nunca te conectes a redes WiFi públicas.

Fuente: Kaspersky

Linux/Cdorked.A: nuevo backdoor Apache utilizado masivamente para propagar Blackhole

abril 29, 2013 § Deja un comentario

La siguiente publicación es una adaptación y traducción del post “Linux/Cdorked.A: New Apache backdoor being used in the wild to serve Blackhole” escrito por Pierre-Marc Bureau y publicado en We Live Security.

La semana pasada, nuestros amigos de Sucuri nos enviaron una versión modificada de un servidor web Apache que redirigía algunas de las peticiones hacia el paquete de exploits Blackhole. El análisis de este malware reveló que se trata de un sofisticado backdoor (troyano de puerta trasera) que implementa técnicas de ocultamiento, y cuyo objetivo es redirigir el tráfico hacia sitios maliciosos. Considerando esto, recomendamos encarecidamente a los administradores de sistemas web comprobar que sus servidores se encuentren libres de esta amenaza. Las instrucciones para realizar este procedimiento se detallarán al final de este post.

Linux/Cdorked.A es uno de los backdoor para Apache más sofisticados que hemos observado. Pese a que aún continuamos procesando los datos, nuestro sistema de alerta temprana reporta cientos de servidores comprometidos, incluidos algunos en América Latina. Por otro lado, el troyano casi no deja rastros en el disco duro del sistema infectado. Lo único que queda es el binario httpd modificado, lo que dificulta cualquier análisis forense. Toda la información relacionada a este backdoor es almacenada en un área de memoria compartida. Asimismo, la configuración es enviada por el atacante a través de peticiones HTTP ofuscadas que no son registradas en el log de Apache. Esto significa que no se almacena ninguna información del Centro de Comando y Control en el sistema afectado.

Contenido completo en fuente original ESET Latinoamérica

Servicios VPN que se toman en serio la privacidad

abril 29, 2013 § Deja un comentario

Los proveedores de VPNs ‘anónimas’ siempre han generado mucha controversia, de entrada lo moral / inmoral que resulta ofrecer privacidad ilimitada. Unos piensan que ‘siempre tiene que haber un límite por si se abusa de ellos’ y otras personas opinan que todo el mundo tiene derecho a tener privacidad y que, aunque existan abusos, eso no justifica que el ser humano deba ser privado de ese derecho.

Moral aparte, encontrar un proveedor VPN que ofrezca verdaderas garantías puede no ser tan fácil, por eso me parece de especial relevancia el estudio que periódicamente publica Torrentfreak sobre el estado del arte en servicios VPN.

Hace ya un tiempo que se publicó el estudio del 2013 donde aparecen catalogados varios proveedores (todos ellos pagos) y sus políticas de retención de datos / acceso de logs por elementos externos.

Los detalles sobre las políticas de privacidad de cada proveedor y su jurisprudencia, las podéis encontrar en el post original.

Fuente: Security by Defult

¿Dónde estoy?

Actualmente estás viendo los archivos para abril, 2013 en Seguridad Informática.